TCPDUMP: captura de paquetes en varias direcciones IP (filtro)

Lo que necesito hacer (a través de 'tcpdump' a través de Linux):

• Servidores de aplicaciones de comercio electrónico: 192.168.1.2, 192.168.1.3, 192.168.1.4. - Esto es lo que quiero capturar (filtrado en estas IP exactas). No es un rango de IP (subred) o una dirección IP individual, solo varias direcciones IP / servidores.

• Hay otras aplicaciones dentro de este rango, por ejemplo, la aplicación PayRoll está en 192.168.1.5, y no quiero ver nada de este tráfico en mi captura.

Tengo un probado:

tcpdump 0 "/tmp" "host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4" 100000

y también:

tcpdump 0 "/tmp" "ip.host==192.168.1.2 or ip.host==192.168.1.3 or ip.host==192.168.1.4" 100000

Ambos devuelven errores de sintaxis.

Cualquier ayuda es muy apreciada.

la sintaxis básica en su caso sería

tcpdump -i <interface to capture on> <filters>

El <filters>se expandiría a algo como

'(host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4) and (port 80 or port 443)'

si su aplicación de comercio electrónico usaría los puertos 80 y 443 para las comunicaciones. Las comillas simples son importantes, de lo contrario su shell podría ver los corchetes () que son importantes para agrupar los parámetros como caracteres especiales.

agregar parámetros -v y -n al principio ( tcpdump -v -n -i ...) agregaría verbosidad a la salida y deshabilitaría la resolución de nombres (acelera la salida)

tcpdump -vvv -enni <interface> host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4 and port XYX -s0 -w /var/tmp/yourfile.pcap